本文介绍绑定飞书的操作步骤和常见用法。
流程概述
绑定飞书到IDaaS只需要四步:
实现场景
绑定飞书后,您可以使用下述能力。
|
分类 |
实现能力 |
|
账户 |
|
|
登录 |
|
绑定飞书
在身份提供方菜单中,单击,即可开始绑定流程。
第一步:应用权限配置
飞书对应用权限有较为细致的要求,部分权限需要管理员审批并发布应用后才可生效,您可能需要企业其他管理员协助。缺少权限将无法使用数据同步等能力,建议完成本步骤权限配置后,再进行后续绑定操作。
-
创建飞书应用。
-
前往飞书开放平台,登录开发者后台,在开发者后台中创建企业自建应用。
-
完成创建后,将自动进入飞书应用详情页。单击菜单,获取App ID和App Secret,并填写到IDaaS中。
-
-
将获取的App ID和App Secret填写到IDaaS中。
-
在飞书应用详情页,单击。在通讯录中,分别进行如下授权。这些均属于通讯录的查询权限,以实现数据同步和用户登录。在弹出的对话框中,切换到应用身份权限 tenant_access_token页签,在左侧筛选区选择通讯录分类,勾选所需权限后单击确认开通权限。需要开通的权限如下:
权限名称
权限值
特殊说明
获取通讯录基本信息
contact:contact.base:readonly
--
获取用户user ID
contact:user.employee_id:readonly
--
获取部门基础信息
contact:department.base:readonly
--
获取通讯录部门组织架构信息
contact:department.organize:readonly
申请权限后需提交版本发布申请并通过审核才可生效。
获取用户基本信息
contact:user.base:readonly
--
获取用户组织架构信息
contact:user.department:readonly
申请权限后需提交版本发布申请并通过审核才可生效。
获取用户邮箱信息
contact:user.email:readonly
该权限非强制要求,只有您希望同步该字段数据到IDaaS时才需开通。
获取用户手机号
contact:user.phone:readonly
申请权限后需提交版本发布申请并通过审核才可生效。
该权限非强制要求,只有您希望同步该字段数据到IDaaS时才需开通。
说明提交发布申请后,将在飞书中通知管理员,管理员需要在飞书管理后台中进行审核。
-
开通飞书数据权限。
-
在中,单击可访问的数据范围进行数据权限配置。
-
根据实际需求选择权限。这个范围决定哪些用户、组织数据可以同步到IDaaS并使用飞书登录。选择 与应用的可用范围一致,然后单击 保存。
-
-
在IDaaS中提交。完成上述权限配置后,在IDaaS中单击,IDaaS将检查对应的API权限和数据权限。具备所有必需的权限后,即可进入到下一步。
第二步:开发配置
-
填写基础信息。
-
填写显示名称。
-
填写企业编号。企业编号需要在飞书管理后台中获取。
在飞书管理后台左侧菜单选择企业管理 > 企业概览,即可在页面上方企业名称下方查看企业编号(以 FE 开头)。
-
-
配置开发信息。
-
重定向 URL。
-
IDaaS侧查看。该地址用于处理用户登录请求。在 IDaaS 的开发信息页面,找到重定向 URL字段,复制其中显示的两条 URL 地址。
-
飞书配置。在飞书应用详情的中填入URL。填写完成后,单击添加按钮。
-
-
应用主页。
-
IDaaS侧查看。在 IDaaS 的开发信息页面,找到应用主页字段,复制其中显示的 URL 地址。如果您希望用户在飞书工作台中可以免登到IDaaS用户门户,则需要配置该主页。
-
飞书配置。请在飞书应用详情的中,添加。在左侧导航栏单击添加应用能力,在按能力添加页签下找到网页应用卡片,单击其下方的+ 添加按钮。
完成添加后,在桌面端主页和移动端主页中填入该URL。在网页应用配置页面中,填写桌面端主页地址和移动端主页地址。在打开方式配置中,选择在飞书内新标签页打开(推荐)或在浏览器中打开。完成后单击保存。
-
-
IP 白名单。
-
IDaaS侧查看。选择共享端点或专属端点后,下方显示对应的出口IP,单击展开查看完整IP列表,单击按飞书所需格式复制复制IP并填入飞书应用安全设置的IP白名单中。
-
共享端点:共享端点是EIAM实例进行网络访问时默认使用的网络端点,所有EIAM实例共用。仅支持访问公网。
-
专属端点:专属端点是您的EIAM实例独享的网络端点。通过专属端点,您可以使用专属的IP实现飞书的数据同步和委托认证,专属端点介绍请参考:网络端点。
-
-
飞书配置。若您希望网络有请求IP限制,请复制IDaaS的出口IP列表,加入飞书中,通过填写。
-
-
第三步:选择场景
选择希望使用的场景能力。
能力说明
-
同步目标:在下拉框选择阿里云IDaaS,飞书的通讯录数据将会导入到IDaaS的这个节点之下。
-
定时校验:IDaaS默认每天凌晨自动全量同步飞书数据,确保两端数据一致。通过字段映射可指定IDaaS账户与飞书用户的匹配规则(如账户名对应userid),匹配成功则更新绑定,否则新建账户。若需实时同步,可手动触发全量任务。系统内置保护机制,当检测到删除超过30个账户或10个组织时自动终止同步,避免误删,建议根据企业规模调整阈值。
-
定时校验周期:同步周期设置为每日一次,支持通过Cron表达式自定义时间。IDaaS在同步过程中内置保护机制,当检测到大量账户或组织删除操作(如超过30个账户或10个组织)时,自动终止任务以避免误删。
-
增量同步:该功能默认关闭,需在完成绑定后手动开启。若未配置事件通知,则无法启用增量同步。用户需在添加流程或修改流程中调整相关设置以激活此功能。
-
在身份提供方页面定位到创建的飞书应用,单击修改。
-
在事件配置处填写Encrypt Key和Verification Token。获取方式在飞书应用详情的。修改后,事件配置 页面显示 Encrypt Key、Verification Token 和 请求地址 字段,下方 添加事件 区域列出已订阅的事件:
contact.department.created_v3(部门新建)、contact.department.deleted_v3(部门被删除)、contact.department.updated_v3(部门信息变化)、contact.user.created_v3(员工入职)、contact.user.deleted_v3(员工离职)、contact.user.updated_v3(员工信息变化)、contact.scope.updated_v3(通讯录范围权限被更新)。 -
将请求地址输入飞书应用详情的,在事件发送至开发者服务器的请求地址中填入该 URL。在飞书应用详情页左侧导航栏单击 事件与回调,选择 事件配置 页签。在 订阅方式 处确认选择"将事件发送至开发者服务器",并在 请求地址 输入框中填写服务器回调地址。
-
-
扫码登录:开启后,IDaaS登录页面将提供飞书扫码登录选项,用户可直接扫码完成认证。若配置了应用主页,还支持从飞书工作台免登访问IDaaS,提升使用便捷性。
第四步:字段映射
如果您在IDaaS中已存在存量数据,需要飞书成员/部门和IDaaS账户/组织绑定,或者希望使用飞书中成员的某些字段数据作为IDaaS账户的数据,例如将飞书用户的姓名作为IDaaS账户的显示名,则需要在此步骤配置字段映射。
飞书中的用户ID(即userid)作为飞书用户的唯一标识,可以被修改。由于此字段是IDaaS能唯一依赖的主键,如果该字段被修改,将导致对应的IDaaS账户被删除并重新创建,请谨慎修改。
管理飞书身份提供方
完成绑定后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。